Una nueva campaña de phising,
apuntando específicamente a la Argentina y Chile, está robando credenciales
para ingresar a los homebankings de las victimas
Según la empresa de
ciberseguridad ProofPoint, el grupo ruso de ciberdelincuentes llamado TA505,
que ha desarrollado malware como son FlawedGrace, FlawedAmmy y ServHelper, se
encuentra haciendo campañas de correos electrónicos de phising dirigidos a la Argentina
y a Chile. ¿Cuál es la modalidad de estos ataques dirigidos? Se propaga
mediante el envío de mails fraudulentos con un archivo adjunto de Word, Excel,
PowerPoint o PDF que tiene código malicioso internamente y al ejecutarse este
infecta el equipo de la víctima sin que esta se entere.
La compañía Proofpoing ya había
denunciado la existencia de una nueva variedad del malware, a la que llamo
ServHelper, durante todo el año pasado. Se trata un programa escrito en Delphi
(un IDE, entorno de desarrollo integrado) y la compañía lo definió como un
"backdoor"; esto quiere decir que el programa intenta generar una
puerta de entrada no intencional para ser usada por los atacantes.
Se conocen dos variantes
distintas: “Tunnel” y “Downloader”:
La variante "Tunnel" tiene
múltiples funciones y se enfoca en la configuración de túneles SSH inversos
para permitir que el atacante acceda al host infectado a través del Protocolo
de escritorio remoto (RDP). Una vez que ServHelper establece el acceso al
escritorio remoto, permite al atacante secuestrar las cuentas de usuario
legítimas o los perfiles de navegador web y usarlos como le parezca.
La variante de “Downloader” es
capaz de descargar y ejecutar cualquier otro malware que se le proporcione:
troyano bancario, steeler, cryptomining, ransomware, keylogger, etcétera.
Así lo advirtió y explicó el
investigador en ciberseguridad Germán Fernández a través de sus redes sociales.
El método de infección es un
clásico phising. Los atacantes envían correos -vale aclarar que están perfectamente
redactados en castellano y sin niguna error gramatical- invitan a la víctima a
descargar un archivo infectaco que aprovechando una utilidad llamada
"macros" permite ejecutar de manera inmediata y sin intermediarios el
archivo que los atacantes implantaron.
La segunda campaña "FlawedAmmy"
El mismo investigador también
denunció otra campaña, pero esta vez utilizando un troyano de acceso remoto
(una pieza de software malicioso que permite al atacante controlar la
computadora infectada). Fernández explica que este malware tiene dos funciones
específicas:
Email Stealer: Se encarga de
recopilar todos los correos electrónicos almacenados en el equipo, ya sea en el
disco o en cualquier cliente de correo que el usuario tenga instalado,
principalmente Microsoft Outlook. El propósito de esto es construir bases de
datos con emails “frescos” para seguir distribuyendo la amenaza.
Botnet Bancaria “Amadey”: Permite
a los autores realizar múltiples tareas maliciosas, como por ejemplo descargar
y ejecutar malware adicional, recibir comandos desde un servidor de control,
exfiltrar información sensible, actualizarse o borrarse, robar inicios de
sesión, registrar teclas pulsadas (Keylogger), generar ataques de Denegación de
Servicio Distribuido (DDoS), robo de accesos y claves de transferencias
bancarias e incluso instalación masiva de Ransomware.
Cuando el investigador tuvo
acceso temporal a la botnet (una cadena de computadoras infectadas que son
controladas por un mismo grupo de personas) encontró 509.540 emails recopilados
(desde el disco) y 1.590.035 emails recopilados (desde clientes de correo).
Recomendaciones de Seguridad
- Mantener actualizado Microsoft
Office y todo el software de seguridad del equipo.
- No abra documentos adjuntos de
remitentes desconocido.
- Aprenda a identificar correos
fraudulentos.
- No deshabilite las funciones de
seguridad en los documentos de Office.
- El correo Phishing puede venir
de cualquier persona, incluso un email conocido, asi que desconfíe
inmediatamente de correos con asuntos como: “AUTORIZACION”, “PAGO”,
“CONFIRMACIÓN”, “BLOQUEO”, “FACTURA” y derivados. Compruebe su veracidad.
Fuente: infotechnology.com